► Триада кибербезопасности (CIA) | 🔁 Новости из телеграм

Триада кибербезопасности (CIA)

Термин, который вы обязательно встретите, изучая ИБ, появился в 70-х благодаря стремлению военных и бюрократов США наконец-то перестать терять секретные данные, хранящиеся в цифровом виде.

🤒 В эти годы было модно во всем обвинять советских шпионов, но триада кибербезопасности — это уникальный пример осознания очевидной истины для того времени: за утечки и кибер-проколы могут быть ответственны не только мифические «русские хакеры», но и свои собственные сотрудники, криворукие админы, дырявый софт и обычная человеческая халатность.

Так и появились 3 всадника-сисадмина: конфиденциальность, целостность и доступность.

😂 Конфиденциальность — обеспечение того, чтобы доступ к информации имели только уполномоченные пользователи.

Пример: служба безопасности выстраивает политику управления корпоративными доступами. А через неделю оказывается, что пароли приклеены стикером на экране бухгалтера, потому что так «удобнее».

😐 Целостность — гарантия того, что данные остаются точными, полными и неизменными.

Пример: безопасники внедряют систему контроля изменений данных, чтобы никто не смог испортить корпоративную базу. Но секретарь открыла «очень важное письмо» от нигерийского принца, а резервных копий для восстановления после атаки не было. Целостность не сохранена, и принца тоже нет.

🤨 Доступность — обеспечение того, чтобы информация и ресурсы были доступны для использования уполномоченными лицами тогда, когда это необходимо, без неожиданных перебоев или ограничений.

Пример: служба ИТ-безопасности закончила внедрение сверхнадёжного отказоустойчивого сервера, а через месяц оказывается, что единственный админ с паролем уехал в отпуск и выключил телефон. Поэтому весь офис дружно уходит пить кофе, потому что больше всё равно делать нечего.

🐒 Почему актуально уже 50 лет?

Каждый ИБ-специалист должен знать триаду (CIA), потому что это фундаментальное знание, на основе которого принимаются все решения: от оценки рисков и расследования инцидентов до выбора технических решений и разработки политик.

Без понимания этой основы невозможно эффективно защищать компанию, и специалист рискует превратиться в бесполезного пожарного, бесконечно борющегося с последствиями проблем, а не с их причинами 🔥

Приходите к нам на курс Специалист по кибербезопасности 👈, если вы хотите научиться правильному построению информационной безопасности, просчитывать риски и анализировать потенциальные угрозы, а не быть «пожарным», которого вышвырнут из компании после первого же инцидента с огнетушителем в заднице позором.